F5 Networks 服務(wù)器負(fù)載均衡器常見問題簡答Q1: 什么叫服務(wù)器負(fù)載均衡器（Server Load Balancing）？什么叫SLB 與GSLB？ A：服務(wù)器負(fù)載均衡器是指設(shè)置在一組功能相同

F5 Networks 服務(wù)器負(fù)載均衡器常見問題簡答

Q1: 什么叫服務(wù)器負(fù)載均衡器（Server Load Balancing）？什么叫SLB 與GSLB？ A：服務(wù)器負(fù)載均衡器是指設(shè)置在一組功能相同或相似的服務(wù)器前端，對到達(dá)服務(wù)器組的流量進(jìn)行合理分發(fā)，并在其中某一臺(tái)服務(wù)器故障時(shí)，能將訪問請求轉(zhuǎn)移到其它可以正常工作的服務(wù)器的軟件或網(wǎng)絡(luò)設(shè)備。

SLB 是服務(wù)器負(fù)載均衡(Server Load Balancing)的簡稱。服務(wù)器負(fù)載均衡又可以分為局域網(wǎng)服務(wù)器負(fù)載均衡與廣域網(wǎng)服務(wù)器負(fù)載均衡(Global Server Load Balancing)。狹義的SLB 是指局域網(wǎng)服務(wù)器負(fù)載均衡，與廣域網(wǎng)服務(wù)器負(fù)載均衡（GSLB）相對。

Q2: 為什么需要服務(wù)器負(fù)載均衡？采用服務(wù)器負(fù)載均衡器有什么優(yōu)點(diǎn)？

A：原有的系統(tǒng)只部署了一臺(tái)服務(wù)器，隨著訪問量的增加，一臺(tái)服務(wù)器已經(jīng)不能滿足應(yīng)用的需要，而需要增加更多的服務(wù)器。當(dāng)部署了兩臺(tái)以上的服務(wù)器時(shí)，就可能會(huì)需要用到負(fù)載均衡器。通過服務(wù)器負(fù)均衡器，對流量進(jìn)行合理分配，可以帶來以下好處：

z 負(fù)載均衡器優(yōu)化了訪問請求在服務(wù)器組之間的分配，消除了服務(wù)器之間的負(fù)載不平衡，從而提高了系統(tǒng)的反應(yīng)速度與總體性能；

z 負(fù)載均衡器可以對服務(wù)器的運(yùn)行狀況進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)運(yùn)行異常的服務(wù)器，并將訪問請求轉(zhuǎn)移到其它可以正常工作的服務(wù)器上，從而提高服務(wù)器組的可靠性

z 采用了負(fù)均衡器器以后，可以根據(jù)業(yè)務(wù)量的發(fā)展情況靈活增加服務(wù)器，系統(tǒng)的擴(kuò)展能力得到提高，同時(shí)簡化了管理。

Q3: 服務(wù)器負(fù)載均衡有哪些實(shí)現(xiàn)方法？

A：實(shí)現(xiàn)服務(wù)器負(fù)載均衡有多種方法，常見的方法有：

z 基于DNS 輪詢的方法：即在DNS 服務(wù)器中對同一域名設(shè)置多條DNS A記錄，通過DNS 的輪詢機(jī)制實(shí)現(xiàn)服務(wù)器負(fù)載均衡。

z 基于服務(wù)器集群的方法；

z 基于應(yīng)用軟件的實(shí)現(xiàn)方法，在應(yīng)用軟件設(shè)計(jì)中就考慮了多服務(wù)器之間的協(xié)同工作與任務(wù)調(diào)度。這種方法一般會(huì)有一臺(tái)服務(wù)器作為中樞對訪問請求進(jìn)行調(diào)度，同時(shí)要求在應(yīng)用層支持訪問重定向或任務(wù)調(diào)度、跳轉(zhuǎn)機(jī)制。

z 采用專門的L4/L7層交換機(jī)來實(shí)現(xiàn)，也即我們常說的負(fù)載均衡器。一般都是通過在L4/L7層交換機(jī)作地址轉(zhuǎn)換（NAT）來實(shí)現(xiàn)。

z 基于代理方式的負(fù)載均衡算法。

Q4: 目前華為公司哪些應(yīng)用系統(tǒng)采用了服務(wù)器負(fù)載均衡設(shè)備？

A:目前華為公司業(yè)務(wù)與軟件產(chǎn)品線中的ICD3.0、動(dòng)感地帶、彩鈴、MMS、WAP網(wǎng)關(guān)產(chǎn)品現(xiàn)在都開始使用F5公司的L4/L7層交換機(jī)作服務(wù)器負(fù)載均衡。

Q5: F5 Networks公司的服務(wù)器負(fù)載均衡器由什么名字，有哪些系列？

A：F5 Networks公司的局域網(wǎng)服務(wù)器負(fù)載均衡的產(chǎn)品叫Bigip 應(yīng)用交換機(jī)(Application Switch)，或叫Layer4-7層交換機(jī)。目前Bigip 應(yīng)用交換機(jī)系統(tǒng)有Bigip1000、 Bigip 2400、Bigip 5000三個(gè)型號。

BIG-IP 1000

BIG-IP 2400

BIG-IP 5100 &

5110

1000

D39 Platform 8 10/100 1 Gb

1 x 1 GHz

512 MB Memory 512 Flash

1 SSL Chip (up to 2000 TPS)

0 TPS @ factory

2400

D44 Platform MRA II 16 10/100 2 Fiber GB

1 x 1.26 GHz PIII 512 MB Memory 512 Flash

1 SSL Chip (up to 2000 TPS)

PMC slot for FIPS SSL

5100

D51 Platform 2Gb/s

2x 1.26 Ghz PIII 24 10/100 4 Fiber GB 1 GB Memory 512 Flash

1 SSL Chips* (up to 4,000 TPS) PMC slot for FIPS

5110

Everything the 5100 has except 4 Copper GB replace Fiber GB

三個(gè)型號的配置如下：

（5100/5110）

2x1000 BASE-SX

8x10/100 BASE-TX

CPU

MEM (STD/MAX) Storage

PIII 1.0 GHz x 1 512 M/2G 512 MB Compact Flash

SSL 芯片

免費(fèi)SSL hand-shakes per second

1x SSL chip 100 TPS

16x10/100 BASE-TX

PIII 1.26 GHz x 1 512 M/2G 512 MB Compact Flash 1x SSL chip 100 TPS

4x1000 BASE-SX 24x10/100 BASE-TX

PIII 1.26 GHz x 2 1G/2G

512 MB Compact Flash 2x SSL chip 100TPS

Q6: 請簡單介紹 F5 Networks 公司？ A：F5 Networks, Inc.是 一 家 專 注于 IP 網(wǎng) 絡(luò) 流 量 和 內(nèi)容 管 理 ( iTCM） 領(lǐng) 域 的 廠 商， 總 部 在美國西雅圖，成立于 1996 年， 1999 年 在 Nasdac 上市，目前全球有 500 多員 工 。 F 5 N e t w o r k s 是 全 球 領(lǐng) 先 的 L a y e r 4 - 7 層 交 換 機(jī) 廠 商、 SS L 集成 加 速 產(chǎn) 品 供 應(yīng) 商 。 目 前 F 5 N e t wo r k s 在 全球 獨(dú) 立 式 L a y e r 4 - 7 層 交 換 機(jī) 市 場、 SS L 集 成 加 速 產(chǎn) 品 市 場 的 市 場 份 額 都 是 處 于 第 一 位。 其中 L a y e r 4 - 7 層獨(dú) 立 式 交 換 機(jī) 在 日 本 更 是 占 有 了 超 過 60以上的市場份額。 F 5 N e tw o r k s 于 2 0 0 0 年 進(jìn) 入 中 國市 場 ， 目 前 在 北 京 、 上 海 、 廣 州 設(shè) 有 辦 事 處 。 F 5 N e tw o r k s 公 司 的 網(wǎng) 站 是 h t t p: / / w w w . f 5. c o m Q7: A： F5 Networks 公司除了服務(wù)器負(fù)載均衡器之外，還有哪些產(chǎn)品？nn控制管理層nn監(jiān)控和管理軟件nn5000/2000/1000/500 系列 局域網(wǎng)絡(luò)高可用性 和負(fù)載均衡,應(yīng)用交 換技術(shù)及SSL加速 解決方案.nnBlade Controller 針對刀片式服務(wù)器 和應(yīng)用的高可用 性, 可擴(kuò)展性, 安全 性和性能.nnLink Controller 針對多鏈路出口的 網(wǎng)絡(luò)的高可用性和 鏈路控制技術(shù)解決 方案nnGlobal Load Balancer 對廣域網(wǎng)絡(luò)多數(shù)據(jù)中心的 高可用性和負(fù)載均衡技術(shù) 及動(dòng)態(tài)冗災(zāi)解決方案nnSSL VPN Gate 遠(yuǎn)程訪問解決方 案，IPSEC VPN 的替代方案nnSwitchnnAppliancennQ8: 請簡單介紹 F5 L4/L7 層交換機(jī)對服務(wù)器作負(fù)載均衡的工作過程。 A：F5 L4/L7 層交換機(jī)對服務(wù)器作負(fù)載均衡時(shí)主要包括以下幾個(gè)過程： ? 截獲和檢查分析流量：保證只有合適的數(shù)據(jù)包才能通過 ? 服務(wù)器監(jiān)控和健康檢查：隨時(shí)了解服務(wù)器群的可用性狀態(tài) ? 負(fù)載均衡和應(yīng)用交換功能：通過各種策略或負(fù)載均衡算法將訪問請求導(dǎo)向到合適的服務(wù) 器，這一過程包括目標(biāo)服務(wù)器的選擇及地址轉(zhuǎn)換（NAT）過程。 ? 會(huì)話的保持(Persistence)：通過會(huì)話保持，保證一系列相關(guān)連的會(huì)話不會(huì)被負(fù)載均衡到 不同的服務(wù)器上。nn

Q9: F5 L4/L7層交換機(jī)對服務(wù)器作負(fù)載均衡時(shí)是怎樣做地址轉(zhuǎn)換的（NAT）。

A：F5 L4/L7層交換機(jī)對服務(wù)器作負(fù)載均衡是采用基于網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的負(fù)載均衡技術(shù) 。 下圖所示是一個(gè)典型的F5 L4/L7層交換機(jī)對服務(wù)器作負(fù)載均衡的網(wǎng)絡(luò)拓?fù)洌?/p>

Cisco6009

Bigip 2400

Web/APP Server

Web/APP Server

Load

Bala

ncing

對外構(gòu)成一臺(tái)虛擬

的服務(wù)器（Virtual Server）192.168.101.1:80，對外提供服務(wù)。當(dāng)一個(gè)訪問虛擬服務(wù)器192.168.101.1:80的請求到達(dá)負(fù)載均衡器以后，負(fù)載均衡器根據(jù)預(yù)先設(shè)定的負(fù)載均衡算法從服務(wù)器pool(WEB_POOL)中挑選一臺(tái)服務(wù)器來服務(wù)該請求，例如選定的是10.1.1.4:80；然后通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）將訪問請求包的目的地址與端口轉(zhuǎn)換成10.1.1.4:80，并將數(shù)據(jù)包發(fā)給10.1.1.4。服務(wù)器10.1.1.4處理訪問請求，并作出回應(yīng)?；貞?yīng)的包必須返回到負(fù)載均衡器上，由負(fù)載均衡器將回應(yīng)包的源地址與端口轉(zhuǎn)換回虛擬服務(wù)器的地址與端口，并返回給客戶。這樣完成一次訪問過程。

Q10: 什么叫會(huì)話保持(Persistence)?

A: 會(huì)話保持(persistence)是負(fù)載均衡中一個(gè)特定而重要的概念。

一個(gè)客戶與服務(wù)器經(jīng)常經(jīng)過好幾次的交互過程才能完成一筆交易。由于這幾次交互過程是密切相關(guān)的，服務(wù)器在進(jìn)行這些交互過程的某一個(gè)交互步驟時(shí)，往往需要了解上一次交互過程的處理結(jié)果，這就要求所有這些相關(guān)的交互過程都由一臺(tái)服務(wù)器完成，而不能被負(fù)載均衡器分散到不同的服務(wù)器上。

而這一系列的相關(guān)的交互過程可能是由客戶到服務(wù)器的一個(gè)連接的多次會(huì)話完成，也可能是在客戶與服務(wù)器之間的多個(gè)不同連接里的多次會(huì)話完成。不同連接的多次會(huì)話，最典型的例子就是基于http 的訪問，一個(gè)客戶完成一筆交易可能需多次點(diǎn)擊，而一個(gè)新的點(diǎn)擊產(chǎn)生的請求，可能會(huì)重用上一次點(diǎn)擊建立起來的連接，也可能是一個(gè)新建的連接。

會(huì)話保持就是指在負(fù)載均衡器上有這么一種機(jī)制，可以識別做客戶與服務(wù)器之間交互過程的關(guān)連性，在作負(fù)載均衡的同時(shí)，還保證一系列相關(guān)連的訪問請求會(huì)保持分配到一臺(tái)服務(wù)器上。

Q11: 基于Layer 4的負(fù)載均衡與基于Layer 7的負(fù)載均衡有什么區(qū)別？

A：基于Layer 4的負(fù)載均衡在截取數(shù)據(jù)流以后，對數(shù)據(jù)包要檢查與分析的部份僅僅限于IP 報(bào)頭及TCP/UDP報(bào)頭，而不關(guān)心TCP 或UDP 包內(nèi)部信息。而基于Layer7的負(fù)載均衡，則要求負(fù)載均衡器除了支持Layer4負(fù)載均衡以外，還要理解數(shù)據(jù)包中4層以上的信息，也即應(yīng)用層的信息。例如，可以理解分析http 協(xié)議，從數(shù)據(jù)包中提取出http uri或cookie 信息。基于Layer4與基于Layer7負(fù)載均衡或交換對數(shù)據(jù)包檢查的深度不一樣，基于Layer4的交換偏重的是網(wǎng)絡(luò)層，而Layer7偏重的是應(yīng)用層，與應(yīng)用結(jié)合很緊密。負(fù)載均衡器在作這兩種方式的負(fù)載均衡時(shí)的性能也不一樣。

Q12: 為什么需要基于Layer7的負(fù)載均衡？

A：簡單來說，之所以需要基于Layer7的負(fù)載均衡，有以下原因：

z 會(huì)話保持(Persistence)的需要：在很多應(yīng)用中，單靠Layer4層的信息，也即IP 地址

與端口的信息，是不足以分辨出會(huì)話的相關(guān)性。這樣要實(shí)現(xiàn)會(huì)話保持，就必須依靠

于Layer7交換。

z 應(yīng)用安全的需要：要做到應(yīng)用級的安全，負(fù)載均衡器必須能檢查、分析應(yīng)用層的信

息，并以此作為流量分發(fā)、訪問控制的依據(jù)。

z 服務(wù)器、應(yīng)用健康檢查的需求：如前面所述，負(fù)載均衡器還有一個(gè)重要任務(wù)就是要及

時(shí)發(fā)現(xiàn)服務(wù)器上的異常情況，這種異常情況不僅僅限于網(wǎng)絡(luò)故障，還包括服務(wù)或應(yīng)

用能不能對訪問請求作出正確的響應(yīng)。這也是要通過對數(shù)據(jù)包的應(yīng)用層進(jìn)行分析才

能實(shí)現(xiàn)。

Q13: 對Lay4-7層交換機(jī)或應(yīng)用交換機(jī)一般要關(guān)注、了解哪些方面？

A：一般來說，對Lay4-7層交換機(jī)或應(yīng)用交換機(jī)，一般會(huì)提到以下幾個(gè)因素：

z 支持的負(fù)載均衡算法

z 支持的服務(wù)器健康檢查的方法

z 如何保持客戶端和服務(wù)器的會(huì)話

z 速度/性能指標(biāo)

z 安全性與可靠性

z 端口數(shù)量

Q14: F5 Bigip負(fù)載均衡器支持哪些負(fù)載均衡算法？

A: F5 Bigip 負(fù)載均衡器支持的負(fù)載均衡算法包括：

?輪詢（RoundRobin）：順序循環(huán)將請求一次順序循環(huán)地連接每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從順序循環(huán)隊(duì)列中拿出，不參加下一次的輪詢，直到其恢復(fù)正常。

?比率（Ratio）：給每個(gè)服務(wù)器分配一個(gè)加權(quán)值為比例，根椐這個(gè)比例，把用戶的請求分配到每個(gè)服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。

?優(yōu)先權(quán)（Priority）：給所有服務(wù)器分組，給每個(gè)組定義優(yōu)先權(quán)，BIG/IP用戶的請求，分配給優(yōu)先級最高的服務(wù)器組（在同一組內(nèi)，采用輪詢或比率算法，分配用戶的請求）；當(dāng)最高優(yōu)先級中所有服務(wù)器出現(xiàn)故障，BIG/IP才將請求送給次優(yōu)先級的服務(wù)器組。這種方式，實(shí)際為用戶提供一種熱備份的方式。

?最小的連接數(shù)（LeastConnection）：傳遞新的連接給那些進(jìn)行最少連接處理的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。

?最快模式（Fastest）：傳遞連接給那些響應(yīng)最快的服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。

?觀察模式（Observed）：連接數(shù)目和響應(yīng)時(shí)間以這兩項(xiàng)的最佳平衡為依據(jù)為新的請求選擇服務(wù)器。當(dāng)其中某個(gè)服務(wù)器發(fā)生第二到第7層的故障，BIG/IP就把其從服務(wù)器隊(duì)列中拿出，不參加下一次的用戶請求的分配，直到其恢復(fù)正常。

?預(yù)測模式（Predictive）：BIG/IP利用收集到的服務(wù)器當(dāng)前的性能指標(biāo)，進(jìn)行預(yù)測分析，選擇一臺(tái)服務(wù)器在下一個(gè)時(shí)間片內(nèi)，其性能將達(dá)到最佳的服務(wù)器相應(yīng)用戶的請求。(被big/ip進(jìn)行檢測) ?規(guī)則模式（iRule）：針對不同的數(shù)據(jù)流設(shè)置導(dǎo)向規(guī)則，用戶可自行編輯流量分配規(guī)則，BIG/IP利用這些規(guī)則對通過的數(shù)據(jù)流實(shí)施導(dǎo)向控制。

Q15: F5 Bigip負(fù)載均衡器支持哪些服務(wù)器健康檢查方法？

A：F5 Bigip負(fù)載均衡器支持以下的服務(wù)器健康檢查方法：

z 服務(wù)器 (Node) - Ping (ICMP)

z 服務(wù) (Port) － Connect

z 可擴(kuò)展的應(yīng)用驗(yàn)證 (EAV) :不僅僅檢查服務(wù)器上指定服務(wù)的端口是否處于監(jiān)聽狀態(tài)，還要檢查該

服務(wù)端口能否對應(yīng)用訪問請求作出回應(yīng)，例如可以檢查對http 請求或?qū)?shù)據(jù)庫的查詢能否作出回應(yīng)。

z 可擴(kuò)展的內(nèi)容驗(yàn)證 (ECV)：Bigip除了可以通過EAV 對服務(wù)進(jìn)行檢查，還可以通過ECV 對服務(wù)

器的響應(yīng)作進(jìn)一步分析，通過分析讀取服務(wù)器回應(yīng)中的指定內(nèi)容來判斷服務(wù)器上服務(wù)的運(yùn)行情

況。上述檢查方法的檢查頻度（e.g. 10 seconds）與檢查響應(yīng)Timeout 時(shí)間（ e.g. 5

seconds）都可以根據(jù)應(yīng)用情況進(jìn)行靈活定制。

對于ECV、EAV，在Bigip 中已經(jīng)包含了一些常見應(yīng)用的檢查與內(nèi)容驗(yàn)證的方法，例如http 的檢查、Ldap、SQL Server等。如果碰到一些應(yīng)用、Bigip上沒有提供相應(yīng)的檢查方法，Bigip還提供了一個(gè)擴(kuò)展的接口，用戶只需要編寫相應(yīng)的應(yīng)用檢查腳本或程序并加載到Bigip 就可實(shí)現(xiàn)對該應(yīng)用的檢查或內(nèi)容驗(yàn)證。

Q16: F5 Bigip支持哪些會(huì)話保持方法？

A：

? 簡單會(huì)話保持

– 根據(jù)客戶端源IP 地址保持客戶會(huì)話的技術(shù)

? HTTP Header

– 根據(jù)HTTP 包頭信息保持會(huì)話的技術(shù)

? SSL ID 會(huì)話保持

– 根據(jù)SSL ID保持客戶/服務(wù)器連接的技術(shù)

? HTTP Cookie 會(huì)話保持

– 插入模式,改寫模式, 被動(dòng)模式, 散列模式(Cookie Hash)

? SIP ID 會(huì)話保持

? Cache 設(shè)備的專用會(huì)話保持

? i-Mode 移動(dòng)應(yīng)用的會(huì)話保持技術(shù)

? i-Rules 客戶定制的會(huì)話保持方法

Q17: 請問基于客戶端源地址的會(huì)話保持（Persistence）方法有什么優(yōu)缺點(diǎn)？

A：所謂基于源地址的會(huì)話保持（在Bigip 應(yīng)用交換機(jī)中，又叫作simple persistence方法）是指負(fù)載均衡器在作負(fù)載均衡時(shí)是根據(jù)訪問請求的源地址作為判斷關(guān)連會(huì)話的依據(jù)。對來自同一IP 地址的所有訪問請求在作負(fù)載均時(shí)都會(huì)被保持到一臺(tái)服務(wù)器上去。

基于原地址的會(huì)話保持實(shí)現(xiàn)起來簡單，只需要根據(jù)數(shù)據(jù)包三、四層的信息就可以實(shí)現(xiàn)，效率也比較高。存在的問題就在于當(dāng)多個(gè)客戶是通過代理或地址轉(zhuǎn)換的方式來訪問服務(wù)器時(shí)，由于都分配到同一臺(tái)服務(wù)器上，會(huì)導(dǎo)致服務(wù)器之間的負(fù)載嚴(yán)重失衡。另外一種情況上客戶機(jī)數(shù)量很少，但每個(gè)客戶機(jī)都會(huì)產(chǎn)生多個(gè)并發(fā)訪問，對這些必發(fā)訪問也要求通過負(fù)均均衡器分配到多個(gè)服器上，這時(shí)基于客戶端源地址的會(huì)話保持方法也會(huì)導(dǎo)致負(fù)載均衡失效。

在上述情況只能采用應(yīng)用層的會(huì)話保持技術(shù)，例如基于http 的cookie, URI, SSLID或TCP、UDP 包內(nèi)某一指定字段。

Q18: Lay4-7層交換機(jī)或應(yīng)用交換機(jī)有哪些速度、性能指標(biāo)比較重要？

A:

? Session/Second :

– 每秒處理的會(huì)話數(shù)量,有Lay4和Lay7的區(qū)別

? Maximum connection :

– 最多能夠保持的連接數(shù)量,即最多能夠保持多少個(gè)并發(fā)的會(huì)話連接

? Throughput : 吞吐率 (bps)

– 有Lay4和Lay7的區(qū)別

? VIP Maximum Number :(支持的虛擬服務(wù)器個(gè)數(shù))

– 最多同時(shí)多少應(yīng)用可以做負(fù)載均衡

Q19: F5 Bigip應(yīng)用交換機(jī)支持的最大連接數(shù)是多少？

A：F5 Bigip應(yīng)用交換機(jī)對客戶到服務(wù)器之間的每一條連接都要維護(hù)一條記錄，當(dāng)連接開始建立時(shí)，Bigip會(huì)根據(jù)負(fù)載均衡算法將客戶的請求分配到一臺(tái)服務(wù)器上。連接建立以后，對這個(gè)連接內(nèi)的所有會(huì)話將不再需要通過負(fù)載均衡算法來選擇服務(wù)器，而是根據(jù)系統(tǒng)中原有的連接表直接進(jìn)行地址轉(zhuǎn)換及交換。如果連接沒有被主動(dòng)關(guān)閉，即使連接處于閑置狀態(tài)，應(yīng)用交換機(jī)中的相應(yīng)的連接表也會(huì)保持一段時(shí)間，直到Timeout 為止。

F5 Bigip應(yīng)用交換機(jī)采用的是共享內(nèi)存與中央CPU 的體系結(jié)構(gòu)，系統(tǒng)支持的最大連接數(shù)只與系統(tǒng)配置的內(nèi)存數(shù)量有關(guān)。一般來說：

當(dāng)系統(tǒng)配置的內(nèi)存是512M 時(shí)，支持的最大連接數(shù)是100萬；

當(dāng)系統(tǒng)配置的內(nèi)存是1G 時(shí)，支持的最大連接數(shù)是200萬；

當(dāng)系統(tǒng)配置的內(nèi)存是2G 時(shí)，支持的最大連接數(shù)是400萬；

上述參數(shù)適用于Bigip1000、 Bigip 2400、Bigip 5000三個(gè)型號。至于隨著Bigip 上連接數(shù)的增加，系統(tǒng)處理會(huì)話的速度會(huì)不會(huì)下降，由于Bigip 對連接表的查詢是采用的hash 算法，查詢速度與連接表的數(shù)量沒有關(guān)系。

Q20: F5 Bigip應(yīng)用交換機(jī)每秒會(huì)話處理能力是多少？

A：在應(yīng)用交換機(jī)中Layer4的每秒會(huì)話處理能力與Layer7的每秒會(huì)話處理能力是不一樣的。另外每秒會(huì)話處理能力還與數(shù)據(jù)包的大小有關(guān)系。每秒會(huì)話處理能力反應(yīng)了應(yīng)用交換機(jī)對數(shù)據(jù)包或會(huì)話的處理能力，與系統(tǒng)的負(fù)載均衡算法、地址轉(zhuǎn)換能力有關(guān)。

Lyaer4的交換可以通過ASCI 芯片硬件來處理，所以性能會(huì)高一些。而Layer7的會(huì)話處理過程必須通過CPU 進(jìn)行，更多的依賴于CPU 的處理能力。

在F5 Bigip產(chǎn)品系列中，Bigip2400采用了最新的Layer4 ASCI芯片，所以Layer4的每秒會(huì)話處理能力最強(qiáng)；而Bigip5000采用了兩個(gè)CPU，所以Layer 7的每秒會(huì)話處理能力最強(qiáng)。 F5 Bigip2400的Layer4最大會(huì)話處理能力是：125000 Layer 4 sessions per second at a data return file size of 64 bytes。

F5 Bigip5000的Layer7最大會(huì)話處理能力是：19000 sessions per second。

關(guān)于F5 Bigip詳細(xì)的性能參數(shù)可以到或下載相關(guān)的第三

方評測報(bào)告。

Q21: F5 Bigip的優(yōu)勢在哪？

A：

? 最多的負(fù)載均衡模式(12種)

– 其中觀察模式,預(yù)測模式是F5的專利

? 會(huì)話保持技術(shù)最多(8種)

– 其中Cookie 會(huì)話保持技術(shù)向所有的競爭對手收取專利費(fèi)

? 服務(wù)器健康檢查最徹底

– 專有的EAV、ECV健康檢查模式

? 性能最好,速度最快: 125000 S/S Lay4(Bigip 2400); 19000 S/S Lay7(Bigip

5000);1.8Gbps;

? 會(huì)話保持?jǐn)?shù)量第一達(dá)到:400萬

? 支持最多的VIP : 4萬個(gè)

? 唯一交換機(jī)廠商有開放的API, iControl

Q22: 請解釋Bigip 上的SSL 加速功能？

A： Bigip SSL加速功能是指通過在Bigip 上的專用的SSL 處理芯片，作為SSL 的代理，將來自客戶端的SSL 請求終結(jié)在Bigip 上，以此來卸載服務(wù)器上的SSL（安全套接層）處理對服務(wù)器CPU 資源的消耗，以提高其性能，同時(shí)大幅度縮短響應(yīng)時(shí)間并增強(qiáng)客戶交易流量管理。SSL加速技術(shù)可以提高電子商務(wù)服務(wù)器的性能，并在關(guān)鍵業(yè)務(wù)在線交易過程中提供安全性、高速度和流量管理，所有這一切都是從同一地點(diǎn)進(jìn)行的，無需費(fèi)錢費(fèi)力地在每臺(tái)服務(wù)器上安裝額外的硬件或軟件。

通過Bigip SSL 加速，可以

? 集中化的 SSL 處理方式

– 不需每個(gè)服務(wù)器安裝公司

SSL 卡

– 使服務(wù)器提供最好的服務(wù)響應(yīng),而不必處理 SSL 的令人頭疼問題

? 集中化的認(rèn)證管理

– 不需每個(gè)服務(wù)器進(jìn)行認(rèn)證

目前Bigip 1000、2400、5000標(biāo)準(zhǔn)配置已經(jīng)包含了100TPS 的SSL 支持，通過額外購買License，可以擴(kuò)展到400、800、1200。

注：TPS 是指每秒的交易數(shù)量

Q23: Bigip 的安全性如何？

A：F5 Bigip上通過以下機(jī)制提高系統(tǒng)的安全性：

? 缺省拒絕(Default deny)、Port Lockdown機(jī)制

? BIG-IP 用監(jiān)察資料交易的起點(diǎn)，目的或入口來過濾封包和限制或拒絕雙向的流量 ? 遠(yuǎn)端管理，使用SSH 命令列或以SSL 來做瀏覽器介面管理

? 能把無用的連接關(guān)掉(阻擋拒絕服務(wù)攻擊)

? 能找起點(diǎn)路線(阻擋IP spoofing)

? Syncookie 機(jī)制抵制SYN floods攻擊

? 阻擋teardrop 和陸地攻擊

? 阻礙ICMP(網(wǎng)絡(luò)控制訊息協(xié)議)攻擊，保護(hù)它自己和其他服務(wù)器

? 不使用SMTPd，F(xiàn)TPd，Telnetd，或其它可攻擊的惡魔

? 可發(fā)現(xiàn)、記錄DOS 攻擊情況，能發(fā)現(xiàn)任何試圖非法存取的服務(wù)和端口：

企圖率：企圖多少次

端口：哪些端口被攻擊

IP 地址：攻擊者的IP 地址

Q24: Bigip 的可靠性如何？

A：通過配置雙機(jī)運(yùn)行于Redundant 模式，BIG-IP提供支持99.999的正常運(yùn)行時(shí)間。

Router

Bigip Bigip

Web/APP ServerWeb/APP Server